论文部分内容阅读
计算机网络技术的飞速发展和规模的扩大使得网络中的各种应用,业务种类越来越丰富,同时网络攻击的手段也逐渐多样化和复杂化。面对大型、复杂、异构的网络环境,传统的针对防火墙、入侵检测系统等安全设备的配置管理完全依赖于管理人员的专业经验,且人工配置是一项既繁琐又易出错的工作,从而可能导致安全设备的配置漏洞而不能执行正确的安全行为的问题。因此,如何结合防御的保护、检测、响应、恢复四个方面,构建面向计算机网络防御的策略求精方法,进而验证该策略求精方法的正确性成为了一项极具挑战性的工作。针对以上问题,本文重点研究了计算机网络防御策略求精方法,计算机网络防御策略求精的语义建模方法,计算机网络防御策略求精的语义一致性分析方法。另外,为了验证防御策略求精方法的有效性,本文将该方法应用在网络可生存性模型的建模验证领域,解决可生存性模型由于环境不同,各种可生存性模型无法在同一环境下进行对比,分析和验证的问题,重点研究了面向移动Ad Hoc网络的可生存性模型建模及其仿真验证方法。主要研究成果如下:(1)提出了一种计算机网络防御策略求精方法现有的计算机网络防御策略求精只支持访问控制策略,VPN策略,而没有站在计算机网络防御的角度,联合各种防御技术手段,构造面向保护、检测、响应、恢复的防御策略求精方法。本文提出了一种计算机网络防御策略求精方法,给出了防御策略的形式化描述,包括保护策略(访问控制、用户身份验证、保密通信、备份),检测策略(入侵检测、漏洞检测),响应策略(系统重启和关机)和恢复策略(重建、补丁安装),设计了计算机网络防御策略求精算法,包括策略求精中的转换算法和防御实体实例选择算法,开发了策略求精系统,通过包括高层的访问控制策略求精,补丁安装、系统重启策略求精,以及入侵检测、漏洞扫描和访问控制策略求精实验,以及求精后得到的策略配置规则的部署实验验证了文中提出的策略求精方法的有效性,通过分析所记录的策略求精时间证明了该方法的效率。(2)提出了一种计算机网络防御策略求精的语义建模方法目前的计算机网络防御策略求精缺乏语义表示和分析方法,从而不能验证防御策略求精前后的语义一致性,也就不能保障防御策略求精的正确性。基于该问题,本文提出了一种计算机网络防御策略求精的语义建模方法。首先借鉴自然语言处理中的语义依存分析算法—Nivre算法,提出了一种改进的计算机网络防御策略语义依存分析算法,并通过实验验证了该算法的有效性和效率;另外,基于以上算法分析所得的策略中的语义依存关系,结合高层策略和操作层策略,构建了基于描述逻辑的计算机网络防御策略求精的语义模型,定义了基于SWRL的推理规则,最终通过基于Racer的推理和语义查询实验验证了本文提出的语义建模方法的有效性。(3)提出了一种计算机网络防御策略求精的语义一致性分析方法当前计算机网络防御策略求精方法是基于机器的符号推理过程,该过程忽略了求解问题的语义,这就导致代换前后可能存在语义差异。因此,为了分析代换前后的语义差异,保障策略求精的语义一致性,本文从策略语句的概念和语句的语义依存结构两个方面进行分析,提出了一种计算机网络防御策略求精的语义一致性分析方法,给出了概念语义一致性和不一致,结构语义一致性和不一致,以及语义关系冲突的形式化定义。设计了一种基于描述逻辑的推理机Racer的概念语义一致性和结构语义一致性分析算法,给出了基于SWRL的概念语义求精和结构语义求精推理规则。最后通过计算机网络防御策略求精的语义一致性分析实验验证了该方法的有效性,通过分析所记录的策略求精语义一致性分析时间证明了该方法的效率。(4)提出了一种移动Ad Hoc网络可生存性模型建模验证方法针对网络可生存性模型考虑因素不同、模型描述各异和实验环境概念不同所造成的彼此之间较难的可比性问题,本文提出了一种用于评判多种移动Ad Hoc网络可生存性模型的建模及其仿真验证方法。从可生存性定义出发,采用本体构建可生存性模型的高层描述,在此基础上研究了高层描述向低层仿真执行的转换技术,提出了基于攻击路径自动生成的防御仿真任务部署方法,并实现了可生存性模型的仿真验证。最终在面向战术环境的移动Ad Hoc网络中,通过SAMNAR模型和群组恢复模型的建模验证实验验证了该方法的有效性。